第9章 入侵检测技术-y

版权所有，盗版必纠第9章入侵检测技术版权所有，盗版必纠概述

入侵检测作为一种积极主动的安全技术，已成为维护网络安全的重要手段之一，并在网络安全中发挥着越来越重要的作用。本章主要介绍入侵检测的基本概念、组成、体系结构、检测技术、标准化问题和发展方向等。版权所有，盗版必纠目录第9章入侵检测技术9.1入侵检测概述9.2入侵检测技术9.3IDS的标准化9.4入侵检测的发展版权所有，盗版必纠随着黑客攻击技术的日渐高明，暴露出来的系统漏洞也越来越多，传统的操作系统加固技术和防火墙隔离技术等都是静态的安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应，越来越不能满足现有系统对安全性的要求。网络安全需要纵深的、多层次的安全措施。9.1入侵检测概述版权所有，盗版必纠现今流行的防火墙技术的局限性主要表现在：第一，入侵者可寻找防火墙背后可能敞开的后门；第二，不能阻止内部攻击；第三，通常不能提供实时的入侵检测能力；第四，不能主动跟踪入侵者；第五，不能对病毒进行有效防护。入侵检测技术作为近20多年来出现的一种积极主动的网络安全技术，是P2DR2模型的一个重要组成部分。与传统的加密和访问控制的常用安全方法相比，入侵检测系统（IDS）是全新的计算机安全措施。它不仅可以检测来自网络外部的入侵行为，同时也可以检测来自网络内部用户的未授权活动和误操作，有效地弥补了防火墙的不足，被称为防火墙之后的第二道安全闸门。此外，它在必要的时候还可以采取措施阻止入侵行为的进一步发生和破坏。9.1.1为什么需要入侵检测系统版权所有，盗版必纠假如说防火墙是一幢大楼的门锁，那么入侵检测系统就是这幢大楼里的监视系统。门锁可以防止小偷进入大楼，但不能防止大楼内部个别人员的不良企图，并且一旦小偷绕过门锁进入大楼，门锁就没有任何作用了。网络系统中的入侵检测系统恰恰类似于大楼内的实时监视和报警装置，在安全监测中是十分必要的，它被视为防火墙之后的第二道安全闸门。Anderson在早期的研究中曾用“威胁”表示入侵，并把它定义为：一种故意的、未授权的企图的潜在可能性，这些企图包括：访问信息、操纵信息、或使系统不可靠或不能用。事实上，“入侵”就是对系统安全策略的侵犯，它不仅包括发起攻击的人取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝服务访问（DenialofService，DoS）等对计算机造成危害的行为。9.1.2入侵检测的概念版权所有，盗版必纠入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。入侵检测系统的英文缩写是IDS（IntrusionDetectionSystem），它通过对网络及其上的系统进行监视，可以识别恶意的使用行为，并根据监视结果进行不同的安全动作，最大限度地降低可能的入侵危害。因为入侵行为不仅可以来自外部，同时也可来自内部用户的未授权活动。所以一个有效的入侵检测系统应当能够检测两种类型的入侵：来自外部世界的闯入和内部攻击者。9.1.2入侵检测的概念版权所有，盗版必纠入侵检测系统基本上不具有访问控制的能力，它就像一个有着多年经验、熟悉各种入侵方式的网络侦察员，通过对数据包流的分析，可以从数据流中过滤出可疑数据包，通过与已知的入侵方式或正常使用方式进行比较，来确定入侵是否发生和入侵的类型并进行报警。网络管理员根据这些报警就可以确切地知道所受到的攻击并采取相应的措施。因此，可以说入侵检测系统是网络管理员经验积累的一种体现，它极大地减轻了网络管理员的负担，降低了对网络管理员的技术要求，提高了网络安全管理的效率和准确性。9.1.2入侵检测的概念版权所有，盗版必纠对入侵检测的研究最早可以追溯到20世纪80年代。1980年，JamesAnderson在其著名的技术报告《ComputerSecurityThreatMonitoringandSurveillance》（计算机安全威胁监控与监视）中首先提出了入侵检测的概念，他将入侵检测划分为外部闯入、内部授权用户的越权使用和滥用三种类型，并提出用审计追踪来监视入侵威胁。然而，这一设想在当时并没有引起人们的注意，入侵检测真正受到重视和快速发展还是在Internet兴起之后。9.1.3入侵检测的历史版权所有，盗版必纠1986年，Denning提出了一个经典的入侵检测模型，如图9.1。他首次将入侵检测的概念作为一种计算机系统的安全防御措施提出。该模型由六个部分组成：主体、对象、审计记录、轮廓特征、异常记录、活动规则，它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个通用的框架。9.1.3入侵检测的历史版权所有，盗版必纠9.1.3入侵检测的历史版权所有，盗版必纠1990年加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM（NetworkSecurityMonitor），从此，入侵检测系统被分为两个基本类型：基于网络的IDS和基于主机的IDS。自从1988年的莫里斯蠕虫事件发生之后，美国一些研究机构开始对分布式入侵检测系统（DIDS）进行研究，将基于主机和基于网络的检测方法集成在一起，使得DIDS成了分布式入侵检测系统历史上的一个里程碑式的产品。从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。1994年，MarkCrosbie和EugeneSpafford首次建议使用自治代理（Autonomousagents）来提高IDS的可伸缩、可维护性、效率和容错性。9.1.3入侵检测的历史版权所有，盗版必纠1996年出现了GRIDS(Graph-basedIntrusionDetectionSystem)，它的设计和实现使得对大规模自动或协同攻击的检测更为便利。同年，Forrest等人首次将免疫原理运用到分布式的入侵检测领域。此后，在IDS中还出现了遗传算法、遗传编程的运用。1997年，RossAnderson和AbidaKhattak将信息检索技术引进到了入侵检测领域。1998年，W.Lee首次提出了运用数据挖掘技术对审计数据进行处理。1999年，StevenCheung等人又提出了入侵容忍（Intrusiontolerance）的概念，在IDS中引入了容错技术。2000年，TimmBass提出了数据融合（DataFusion）的概念，将分布式入侵检测理解为在层次化模型下对多感应器的数据综合问题。9.1.3入侵检测的历史版权所有，盗版必纠这几年，入侵检测系统发展很快，如ISS，Cisco，Axent，NSW，NFR等都发布了它们的产品，这些产品各有自己的优势。然而，由于通用标准的缺乏，不同的入侵检测系统之间还不能有效地进行互操作。9.1.3入侵检测的历史版权所有，盗版必纠入侵检测系统包括三个功能部件：提供事件记录流的信息源、发现入侵迹象的分析引擎、基于分析引擎的结果产生反应的响应部件。因此，IDS可以看作这样的管理工具：它从计算机网络的各个关键点收集各种系统和网络资源的信息，然后分析有入侵（来自组织外部的攻击）和误用（源于内部组织的攻击）迹象的信息，并识别这些行为和活动，在某些情况下，它可以自动地对检测到的活动进行响应，报告检测过程的结果，从而帮助计算机系统对付攻击。IDS也可以包括一个所谓的“蜜罐”（Honeypot），人为留下一些明显的安全漏洞，以引诱攻击者对这些漏洞进行入侵，从而为研究入侵行为提供信息。9.1.4入侵检测系统的作用版权所有，盗版必纠入侵检测系统的主要功能是：监视用户和系统的活动，查找非法用户和合法用户的越权操作。审计系统配置的正确性和安全漏洞，并提示管理员修补漏洞。对用户的非正常活动进行统计分析，发现入侵行为的规律。检查系统程序和数据的一致性与正确性。能够实时地对检测到的入侵行为进行反应。操作系统的审计跟踪管理。9.1.4入侵检测系统的作用版权所有，盗版必纠对一个成功的入侵检测系统而言，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能为网络安全策略的制定提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员也能非常容易地利用它对网络实施安全保护。入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变；在发现入侵后，应能及时做出响应，包括切断网络连接、记录事件和报警等。9.1.4入侵检测系统的作用版权所有，盗版必纠入侵检测系统可以从不同的角度进行分类，目前主要有以下几种分类方法。1．按照数据的来源按照采集器的数据来源，可分为三种，即基于主机的IDS、基于网络的IDS和基于路由器的IDS。9.1.5入侵检测的分类版权所有，盗版必纠基于主机的IDS（Host-basedIntrusionDetectionSystem，HIDS）：通过监视和分析所在主机的审计记录检测入侵。优点是可精确判断入侵事件，并及时进行反应，不受网络加密的影响。缺点是会占用宝贵的主机资源。另外，能否及时采集到审计也是这种系统的弱点之一，因为入侵者会将主机审计子系统作为攻击目标以避开IDS。典型的系统主要有：ComputerWatch，Discovery，Haystack，IDES，ISOA，MIDAS以及LosAlamos国家实验室开发的异常检测系统W&S。9.1.5入侵检测的分类基于网络的IDS（Network-basedIntrusionDetectionSystem，NIDS）：通过在共享网段上对主机之间的通信数据进行侦听，分析可疑现象。这类系统不需要主机通过严格的审计，主机资源消耗少，可提供对网络通用的保护而无需顾及异构主机的不同架构。但它只能监视经过本网段的活动，且精确度较差，在交换网络环境下难于配置，防欺骗能力也较差。9.1.5入侵检测的分类版权所有，盗版必纠基于路由器的入侵检测系统（Router-basedIntrusionDetectionSystem，RIDS）：通过对网关中相关信息的提取，提供对整个信息基础设施的保护，确保大型网络计算机之间安全、可靠的连接。一般安装在路由器上，但负载变化对网络性能的影响很大。9.1.5入侵检测的分类版权所有，盗版必纠当然，以上三种入侵检测系统都具有自己的优点和不足，可互相作为补充。一般地，一个完备的入侵检测系统一定是基于主机和基于网络两种方式兼备的分布式系统。事实上，现在的商用产品也很少是基于一种入侵检测模型、使用一种技术实现的，一般都是理论模型与技术条件间的折衷方案。不同的体系结构、不同的技术途径实现的入侵检测系统都有不同的优缺点，都只能最适用于某种特定的环境。9.1.5入侵检测的分类版权所有，盗版必纠2．按照分析的方式按照分析器所采用的数据分析方式，可分为异常检测系统、误用检测系统和混合检测系统。9.1.5入侵检测的分类版权所有，盗版必纠异常检测（Anomalydetection）系统：

检测与可接受行为之间的偏差。假定所有的入侵行为都与正常行为不同，建立正常活动的简档，当主体活动违反其统计规律时，则将其视为可疑行为。该技术的关键是异常阈值和正常特征的选择。其优点是可以发现新型的入侵行为，缺点是容易产生误报。9.1.5入侵检测的分类版权所有，盗版必纠误用检测（Misusedetection）系统：

检测与已知的不可接受行为之间的匹配程度。假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，系统的目标就是检测主体活动是否符合这些模式，如果符合则视为可疑行为。该技术的关键是如何表达入侵的模式，把真正的入侵行为与正常行为区分开来，因此入侵模式表达的好坏直接影响入侵检测的能力。其优点是误报少，缺点是只能发现攻击库中已知的攻击，且其复杂性将随着攻击数量的增加而增加。9.1.5入侵检测的分类版权所有，盗版必纠混合检测（Hybriddetection）系统：同时使用以上两种方法，从而获得二者的优点而避免其缺点。目前，国际顶尖的入侵检测系统还主要以模式发现技术为主，并结合异常发现技术。9.1.5入侵检测的分类版权所有，盗版必纠3．按照分析的位置按照分析器进行数据分析的位置，IDS可分为集中式和分布式。9.1.5入侵检测的分类版权所有，盗版必纠集中式的IDS：数据的分析在一个固定的位置上，独立于受监视主机。这里不考虑数据收集的位置，只考虑数据分析的位置。如：IDES（ArealtimeIntrusionDetectionExpertSystem，一个实时的入侵检测专家系统），IDIOT（Anapplicationofpetri-netstointrusiondetection，运用了Petri网，由PurdueCOAST开发），NADIR（Anautomatedsystemfordetectingnetworkintrusionandmisuse，检测网络入侵和误用的自动系统），NSM（NetworkSecurityMonitor，第一个用网络通信作为审计数据来源的系统）。9.1.5入侵检测的分类版权所有，盗版必纠分布式的IDS：数据分析在很多位置进行，和被监视主机的数量成比例。这里只考虑数据分析部件的位置和数量，而不考虑数据收集部件。如：DIDS（DistributedIntrusionDetectionSystem），GrIDS（Graph-basedIntrusionDetectionSystem），EMERALD（EventMonitoringEnablingResponsetoAnomalousLiveDisturbances），AAFID（AutonomousAgentsforIntrusionDetection）。9.1.5入侵检测的分类版权所有，盗版必纠4．其它分类方法根据响应方式，入侵检测系统可分为主动和被动响应系统。主动响应对发现的入侵行为主动进行处理以阻止攻击，被动响应仅仅对发现的入侵行为进行告警和写入日志。根据系统的工作方式，可分为离线检测和在线检测。离线检测在事后分析审计事件，从中检查入侵活动，是一种非实时工作的系统；在线检测包含：对实时网络数据包分析、对实时主机审计分析，是一种实时联机的检测系统。9.1.5入侵检测的分类版权所有，盗版必纠当然，系统攻击和入侵检测是矛与盾的关系，各种不同机制的入侵检测系统之间并没有绝对的优劣之分。在当前，由于对计算机系统各部分存在漏洞的情况、人类的攻击行为、漏洞与攻击行为之间的关系都没有（也不可能）用数学语言明确的描述，无法建立可靠的数学描述模型，因而无法通过数学和其他逻辑方法从理论上证明某一个入侵检测模型的有效性，而只能对于一个已经建立起来的原型系统，进行攻防比较测试，通过实验的方法在实践中检验系统的有效性。9.1.5入侵检测的分类版权所有，盗版必纠一般说来，入侵检测系统主要有集中式、分布式和分层式三种体系结构。9.1.6入侵检测的体系结构版权所有，盗版必纠1．集中式结构入侵检测系统发展的初期，IDS大都采用单一的体系结构，即所有的工作包括数据的采集、分析都是由单一主机上的单一程序来完成，如图9.2（a）。目前，一些所谓的分布式入侵检测系统只是在数据采集上实现了分布式，数据的分析、入侵的发现和识别还是由单一程序来完成，如图9.2（b）。因此，这种入侵检测系统实际上还是集中式的。9.1.6入侵检测的体系结构版权所有，盗版必纠这种结构的优点是：数据的集中处理可以更加准确地分析可能的入侵行为。缺点是：（1）可扩展性差。在单一主机上处理所有的信息限制了受监视网络的规模；分布式的数据收集常会引起网络数据过载问题。（2）难于重新配置和添加新功能。要使新的设置和功能生效，IDS通常要重新启动。（3）中央分析器是个单一失效点。如果中央分析器受到入侵者的破坏，那么整个网络将失去保护。9.1.6入侵检测的体系结构版权所有，盗版必纠2．分布式结构随着入侵检测产品日益在规模庞大的企业中应用，分布式技术也开始融入到入侵检测产品中来。这种分布式结构采用多个代理在网络各部分分别进行入侵检测，并协同处理可能的入侵行为，其优点是：能够较好地实现数据的监听，可以检测内部和外部的的入侵行为。但是这种技术不能完全解决集中式入侵检测的缺点。因为当前的网络普遍是分层的结构，而纯分布式的入侵检测要求代理分布在同一个层次，若代理所处的层次太低，则无法检测针对网络上层的入侵，若代理所处的层次太高，则无法检测针对网络下层的入侵。同时由于每个代理都没有对网络数据的整体认识，所以无法准确地判断跨一定时间和空间的攻击，容易受到IP分段等针对IDS的攻击。9.1.6入侵检测的体系结构版权所有，盗版必纠3．分层结构由于单个主机资源的限制和攻击信息的分布，在针对高层次攻击（如协同攻击）上，需要多个检测单元进行协同处理，而检测单元通常是智能代理。因此，考虑采用分层的结构来检测越来越复杂的入侵是比较好的选择，如图9.3。9.1.6入侵检测的体系结构版权所有，盗版必纠在树形分层体系中，最底层的代理负责收集所有的基本信息，然后对这些信息进行简单的处理，并完成简单的判断和处理。其特点是所处理的数据量大、速度快、效率高，但它只能检测某些简单的攻击。中间层代理起承上启下的作用，一方面可以接受并处理下层节点处理后的数据，另一方面可以进行较高层次的关联分析、判断和结果输出，并向高层节点进行报告。中间节点的加入减轻了中央控制台的负担，增强了系统的伸缩性。9.1.6入侵检测的体系结构版权所有，盗版必纠最高层节点主要负责在整体上对各级节点进行管理和协调，此外，它还可根据环境的要求动态调整节点层次关系图，实现系统的动态配置。网络中攻击与防护的对抗是一个长期复杂的过程。从长远的安全角度考虑，一个好的体系结构将提高整个安全系统的自适应性和进化能力。然而，目前由于通用标准的缺乏，入侵检测系统内部各部件缺乏有效的信息共享和协同机制，限制了攻击的检测能力，并且入侵检测系统之间也难以交换信息和协同工作，降低了检测效率。9.1.6入侵检测的体系结构版权所有，盗版必纠入侵检测方法有多种，按照他们对数据进行分析的角度，可将它们分为两大类，即异常检测技术和误用检测技术。9.2入侵检测技术版权所有，盗版必纠异常检测（AnomalyDetection），也称基于行为的检测，是指根据使用者的行为或资源使用情况来判断是否发生了入侵，而不依赖于具体行为是否出现来检测。若入侵行为偏离了正常的行为轨迹，就可以被检测出来。例如，系统把用户早六点到晚八点登录公司服务器定义为正常行为，若发现有用户在晚八点到早六点之间（如凌晨一点）登录公司服务器，则把该行为标识为异常行为。异常检测试图用定量方式描述常规的或可接受的行为，从而区别非常规的、潜在的攻击行为。异常检测技术的原理如图9.4所示。9.2.1异常检测技术版权所有，盗版必纠9.2.1异常检测技术版权所有，盗版必纠该技术的前提条件是入侵活动是异常活动的一个子集，理想的情况是：异常活动集与入侵活动集相等。但事实上，二者并不总是相等的，有4种可能性：（1）是入侵但非异常；（2）非入侵但表现异常；（3）非入侵且非异常；（4）是入侵且异常。9.2.1异常检测技术版权所有，盗版必纠该技术主要包括以下几种方法：1．用户行为概率统计模型这种方法是产品化的入侵检测系统中常用的方法，它是基于对用户历史行为建模以及在早期的证据或模型的基础上，审计系统的被检测用户对系统的使用情况，然后根据系统内部保存的用户行为概率统计模型进行检测，并将那些与正常活动之间存在较大统计偏差的活动标识为异常活动。它能够学习主体的日常行为，根据每个用户以前的历史行为，生成每个用户的历史行为记录库，当用户行为与历史行为习惯不一致时，就会被视为异常。9.2.1异常检测技术版权所有，盗版必纠在统计方法中，需要解决以下四个问题：选取有效的统计数据测量点，生成能够反映主体特征的会话向量；根据主体活动产生的审计记录，不断更新当前主体活动的会话向量；采用统计方法分析数据，判断当前活动是否符合主体的历史行为特征；随着时间变化，学习主体的行为特征，更新历史记录。9.2.1异常检测技术版权所有，盗版必纠2．预测模式生成它基于如下假设：审计事件的序列不是随机的，而是符合可识别的模式的。与纯粹的统计方法相比，它增加了对事件顺序与相互关系的分析，从而能检测出统计方法所不能检测的异常事件。这一方法首先根据已有的事件集合按时间顺序归纳出一系列规则，在归纳过程中，随着新事件的加入，它可以不断改变规则集合，最终得到的规则能够准确地预测下一步要发生的事件。9.2.1异常检测技术版权所有，盗版必纠3．人工神经网络通过训练神经网络，使之能够在给定前n个动作或命令的前提下预测出用户下一动作或命令。网络经过用户常用的命令集的训练，经过一段时间后，便可根据网络中已存在的用户特征文件，来匹配真实的命令。任何不匹配的预测事件或命令，都将被视为异常行为而被检测出来。该方法的好处是：能够很好的处理噪音数据，并不依赖于对所处理的数据的统计假设，不用考虑如何选择特征向量的问题，容易适应新的用户群。缺点是：命令窗口的选择不当容易造成误报和漏报；网络的拓扑结构不易确定；入侵者能够训练该网络来适应入侵。9.2.1异常检测技术版权所有，盗版必纠误用检测(MisuseDetection)，也称基于知识的检测，它是指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。它通过分析入侵过程的特征、条件、排列以及事件间的关系来描述入侵行为的迹象。误用检测技术首先要定义违背安全策略事件的特征，判别所搜集到的数据特征是否在所搜集到的入侵模式库中出现。这种方法与大部分杀毒软件采用的特征码匹配原理类似。其原理如图9.5所示。9.2.2误用检测技术版权所有，盗版必纠9.2.2误用检测技术版权所有，盗版必纠该技术的前提是假设所有的网络攻击行为和方法都具有一定的模式或特征，如果把以往发现的所有网络攻击的特征总结出来并建立一个入侵信息库，那么将当前捕获到的网络行为特征与入侵信息库中的特征信息相比较，如果匹配，则当前行为就被认定为入侵行为。9.2.2误用检测技术版权所有，盗版必纠该技术主要包括以下方法：1．专家系统用专家系统对入侵进行检测，经常是针对有特征的入侵行为。该技术根据安全专家对可疑行为的分析经验来形成一套推理规则，然后在此基础上建立相应的专家系统，由此专家系统自动对所涉及入侵行为进行分析。所谓的规则，即是知识，专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。因此，该方法应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正。9.2.2误用检测技术版权所有，盗版必纠2．模型推理入侵者在攻击一个系统时往往采用一定的行为序列，如猜测口令的行为序列，这种行为序列构成了具有一定行为特征的模型。该技术根据入侵者在进行入侵时所执行的某些行为程序的特征，建立一种入侵行为模型，并根据这种模型所代表的入侵意图的行为特征，来判断用户执行的操作是否属于入侵行为。该方法也是建立在对当前已知的入侵行为程序的基础之上的，对未知的入侵方法所执行的行为程序的模型识别需要进一步的学习和扩展。与专家系统通常放弃处理那些不确定的中间结论的缺点相比，这一方法的优点在于它基于完善的不确定性推理的数学理论。9.2.2误用检测技术版权所有，盗版必纠3．状态转换分析状态转换法将入侵过程看作一个行为序列，这个行为序列导致系统从初始状态转入被入侵状态。该方法首先针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态转换的条件，即导致系统进入被入侵状态必须执行的操作（特征事件）。然后用状态转换图来表示每一个状态和特征事件。当分析审计事件时，若根据对应的条件布尔表达式系统从安全状态转移到不安全的状态，则把该事件标记为入侵事件。系统通过对事件序列进行分析来判断入侵是否发生。9.2.2误用检测技术版权所有，盗版必纠4．模式匹配该方法将已知的入侵特征编码成与审计记录相符合的模式，并通过将新的审计事件与已知入侵模式相比较来判断是否发生了入侵。当新的审计事件产生时，该方法将寻找与它相匹配的已知入侵模式。如果找到，则意味着发生了入侵。9.2.2误用检测技术版权所有，盗版必纠近年来，随着网络及其安全技术的飞速发展，一些新的入侵检测技术相继出现，其中很多入侵检测方法既不是误用检测也不属于异常检测的范围，而是可以应用于以上两类检测，主要包括：9.2.3其它入侵检测技术版权所有，盗版必纠1．软计算方法软计算方法包含了神经网络、遗传算法与模糊技术。运用神经网络进行入侵检测有助于解决具有非线性特征的攻击活动，而用于入侵检测的神经网络运用模糊技术确定神经网络的权重，可加快神经网络的训练时间，提高神经网络的容错和外拓能力。神经网络方法的运用是提高检测系统的准确性和效率的重要手段。近年来，还有人运用遗传算法、遗传编程及免疫原理进行入侵检测。然而，这些方法还不成熟，目前还没有出现较为完善的产品。9.2.3其它入侵检测技术版权所有，盗版必纠2．计算机免疫学这是一个较新的领域，最初由Forrest等人提出。该项技术建立网络服务正常操作的行为模型，它首先收集一些参考审计记录构成一个参考表，表明正确的行为模式，并实时检测进程系统的调用序列是否符合正常模式。如果参考表足够详尽，则误报率将很低。但不足的是它不能对付利用配置错误进行的攻击，以及攻击者以合法操作进行的非授权访问等。9.2.3其它入侵检测技术版权所有，盗版必纠3．数据挖掘首先由Wenke.lee用于入侵检测。该技术可以自动地通过数据挖掘程序处理收集到的审计数据，为各种入侵行为和正常操作建立精确的行为模式，而不需要人工分析和编码入侵行为，且系统适应性好，即相同的算法可用于多种证据数据。其关键在于算法的选取和建立一个正确的体系结构。据DARPA评估，运用了这种技术的IDS在性能上优于基于“知识”的IDS。9.2.3其它入侵检测技术数据挖掘分析方法分类（Classification）首先从数据中选出已经分好类的训练集，在该训练集上运用数据挖掘分类的技术，建立分类模型，对于没有分类的数据进行分类。a.信用卡申请者，分类为低、中、高风险b.故障诊断：中国宝钢集团与上海天律信息技术有限公司合作，采用数据挖掘技术对钢材生产的全流程进行质量监控和分析，构建故障地图，实时分析产品出现瑕疵的原因，有效提高了产品的优良率。注意：类的个数是确定的，预先定义好的版权所有，盗版必纠数据挖掘分析方法

估